Как правильно реализовать систему смены паролей?

Question

[JackShcherbakov]

Здравствуйте, коллеги!

Как правильно организовать работу такого алоритма:

1. Пользователь забыл пароль
   
2. Пользователь нажимает на кнопку "восстановить пароль"
   
3. Пользователю на почту присылается письма с сслкой на страницу восстановления, которая перестанет быть актуальной через 15 минут.
   

Я не совсем понимаю как сгенерировать эту самую временную страницу и как от нее избавиться, когда она перестанет быть актуальной.

Заранее выражаю огромную благодарность всем, кто поможет.

Answer 1

[Александр]

Генерировать надо не страницу целиком, а всего лишь какой-нибудь ключ для восстановления и передавать этот ключ на страницу восстановления GET запросом. А в письме просто генерировать ссылку на страницу восстановления с этим ключом.

Получится как-то так.
https://mysite.com/account/recovery?key=ABCD

Comments

[JackShcherbakov]

Спасибо, Александр! Я почему-то ломал голову над генерацией файлов на сервере, хотя всё просто! Еще раз спасибо!

Answer 2

[D3lphi]

1. Генерируемых случайную строку - код восстановления пароля.
   
2. Пишем ее в базу вместе с временем генерации.
   
3. Высылаем пользователю письмо с ссылкой на специальную страницу, через url передаём код.
   
4. При переходе пользователя по ссылке проверяем код на существование, а так же на то, не истёк ли он.
   
5. На этой странице пользователь может изменить пароль.
   
6. После того, как пользователь изменил пароль, удаляем код.
   

Comments

[JackShcherbakov]

Ёлки палки, точно! Спасибо Вам большое!
Код в GET-параметре записывать ведь (....?code=2Ad65bvgSDgdrjghDT....)?

[D3lphi]

JackShcherbakov, можно в параметре, можно как часть пути (/password/reset/{code}).